למנהלי רשת וממוני אבטחת מידע הדבר תמיד היה ברור: מוצפן יותר שווה מאובטח יותר ומאובטח יותר זה טוב יותר.
בתקופות קדומות, גורמים האמונים על העברת מסרים חסויים ניסו כל הזמן, בדרכים שונות ויצירתיות לשפר את אבטחת המסרים, הבטחת הגעה תקינה ליעדם ומניעת כל סיכוי שהוא לגורם בלתי מורשה לצפות בתוכנם.
בעולם המחשוב, עד לא מכבר, נושא ההצפנה תמיד לווה בחשש מתמיד בשל נושא הביצועים והדחיסה שכן באופן טבעי הצפנה מגדילה את משאבי הרשת הנחוצים להעברת המסרים. בשנים האחרונות ההשלכות של ההצפנה על ביצועי המערכות השונות הולך ונעשה שולי יותר ויותר ככל שרוחבי הפס ומשאבי העיבוד גדלים בהתמדה ומחיר הזיכרונות והדיסקים הקשיחים צונח יותר ויותר. בנוסף, כמות ומגוון המתקפות הסייבר בשנים האחרונות רק עולה בהתמדה.
בשל כך, כצפוי, מדינות רבות אוכפות רגולציה מחמירה ונוקשה בקשר לאופן אבטחתן של מערכות מידע. בנוסף, חברות ישראליות רבות נרכשו על ידי חברות מחו״ל ובשל כך נעשו כפופות לרגולציות מחמירות כדוגמת SOX והוראה 257. רגולציות מעין אלו ואחרות מייצרות אצל מנהלי רשתות ואחראי אבטחת מידע תחושת דחיפות בכל הקשור לאבטחת המידע ברשת שלהם ובד בבד חשש מתמיד, כמעט פובי, אך מאוד ריאליסטי מפורץ אלמוני אשר יצליח להערים על כל המשוכות והמוקשים הוירטואליים שטמנו לו ויצליח לעשות את דרכו לרשת שלהם. אותם מנהלי רשת ואחראי אבטח מידע, בשל אותה דחושת דחיפות, נוטים פעמים רבות להתקין ברשת שלהם אמצעי בקרה נוספים חדשים ומתוחכמים יותר ויותר. מפתחים וארכיטקטים בכל העולם בבתי התוכנה הגדולים כמו גם בקטנים נוטים פעמים רבות לבחור בהצפנת התווך בין השרת של המערכת שהם מפתחים לתחנה מתוך הנחת יסוד שמוצפן יותר = טוב יותר או יותר נכון מוצפן יותר = מוגן יותר.
נשמע פחות או יותר נכון, לא? אז זהו – שלא… (או לפחות – לא בדיוק)
לפני שאני אתחיל להסביר למה, חשוב להבהיר דבר נוסף. בשנת 1971 התחיל את דרכו הדואר האלקטרוני הראשון (שדומה למה שאנו מכירים היום אם כי כבר בשנות השישים הייתה דרך להעביר הודעות בין משתמשים) ובשנת 1981 פורסם רשמית התקן לשליחת דואר אלקטרוני (SMTP). עד שנת 1997 הודעות דואר שהיו נשלחות בין משתמשי האינטרנט היו עוברות באופן שאינו מוצפן וכל אחד שהייתה לו גישה לציוד בו עובר המידע יכל עקרונית לקרוא את תוכנה של ההודעה ללא כל קושי (השגת גישה לציוד בו עובר המידע אינו דבר פשוט כל כך אבל בהחלט אפשרי).
הדבר שקרה בשנת 1991 ששינה את המצב היה אדם בשם פיל צימרמן, הוא חשש מאד מהמצב הזה משום שעד להופעתה של רשת האינטרנט, אדם המעוניין להשיג גישה לשיחת טלפון היה חייב בדרך כלל להתקין ציוד בדירתו של האדם שאל שיחותיו הוא מעוניין לצותת (כל מי שראה את הסרט "חיים של אחרים" מבין על מה אני מדבר) ולכן הייתה מידה רבה של יכולת לאדם להגן באופן סביר על פרטיותו בעת קיום שיחות טלפוניות. פיל צימרמן חשש מכך שאנשים ישתמשו ברשת האינטרנט כדי לשלוח הודעות ביניהם ללא כל יכולת ממשית להגן על פרטיותם. בשל החשש שקינן בליבו הוא פיתח את מערכת ה-PGP ופרסם אותה כתוכנת קוד פתוח, מהלך זה, בשל היותו לא חוקי בארה"ב (וגם במדינות אחרות כמו ישראל)הוא נחקר במשך שלוש שנים והיה סיכוי ממשי לכך שהוא יואשם בסחר בנשק ויישלח לכלא. הסיבה שמהלך זה נחשב ללא חוקי היא שבשל העובדה שפיתוח שיטת הצפנה חדשה ופרסומה מעבר לגבולות הפיזיים של המדינה מתאפשר לכל דכפין להעביר מידע לגורמים מחוץ למדינה ללא יכולת של הסוכנות האמריקאית לביטחון לאומי (ה-NSA) לבחון את תוכנו.
בנוסף, הטכנולוגיה המשמשת את מערכת PGP היא טכנולוגית RSA אשר גם היא נולדה מתוך הצורך של ארבעה אנשים בשמירה על פרטיות המסרים שאותם הם מעבירים. כאשר בשנות השבעים למעשה, הדוגמאות הללו מובאות כאן על מנת להמחיש את המגמה הבולטת מראשית ימי האינטרנט, הצורך בפרטיות ברשת שכל מהותה הוא ״ציבוריות״. הבעיה שעלתה והחמירה ככל שיכולות ההצפנה הלכו והשתפרו, הייתה העובדה שלמעשה אף אחד אבל באמת אף אחד, כולל הגורמים שאמונים על ההגנה ושמירה על שלומנו ובטחוננו.
על להבין באמת את הסיכון הטמון בכך צריך לחזור ולהקביל את האבטחה הלוגית לאבטחה הפיזית, על ידי הקבלה שכזו ניתן בקלות לזהות כשלים מהותיים באבטחת המידע. ובכן, למשל אבטחה פיזית של חדר כלשהו תכלול מן הסתם מנעולים משוכללים למניעת כל אפשרות של פריצת מנגנוני הנעילה על ידי אדם שאינו בעל הרשאות הכניסה המתאימות, בנוסף אבטחה פיזית שכזו תוכל לזהות את האדם המבקש להיכנס לחדר באמצעות טביעת אצבעו, כף ידו או הרשתית שבעינו. אבטחה כזו לא תהיה שלמה ללא מצלמות שיצלמו כל זוית אפשרית של החדר בנוסף, יידרשו מצלמות שיצלמו את פנים החדר מזויות שונות. ניסיון לוותר על המצלמות הללו יגרום לכך שבעת הצורך לא יהיו בידינו הנתונים הדרושים על מנת לקבוע במקרה של פריצה את זהותו של הפורץ ואת אופן ביצוע הפריצה. יתירה מזאת, אם כל אותן מצלמות יבצעו צילום סטילס בודד של הפורץ בעת ביצוע הפריצה (כמו מצלמת מהירות בכביש) נוכל כנראה לקבוע באופן חלקי את זהות הפורץ אולם לא נוכל לקבוע על בסיס התמונה את הנזק שנגרם או את האופן המדוייק בו נגרם ולכן לא נוכל להתכונן כיאות לאירוע הבא.
אם נחזור להקבלה שעשינו, אפשר עקרונית להקביל את המנעולים השונים לרכיבים המבצעים בקרה על תווך התקשורת כדוגמת פיירוולים למיניהם ואת רכיבי זיהוי המשתמש לרכיבי זיהוי משתמש כגון שרתי AD למשל ואת תוכנו של החדר למידע שעליו אנו מעוניינים להגן. המצלמות, שתפקידן הוא לבצע מעקב אחר כל פעולה המבוצעת בחדר (על המידע) חוקית או לא, למעשה מדגימות את הצורך במגוון רחב של רכיבים המאפשרים לנו לצפות במה שקורה ברשת בין אם הוא לגיטימי או לא, רכיבים אלו עשויים לכלול רכיבי Auditing רישום Logging/Tracing ורכיבי Packet capturing/analyzing. רכיבים אלו, בדומה למצלמות יאפשרו לבצע ניתוח מעמיק יותר של איום שזוהה באמצעי הבקרה הרגילים, כגון פיירוולים שונים הן בזמן אמת והן על נתונים היסטוריים. בדומה למצלמות האבטחה, גם רכיבים אלו יאפשרו תחקור של אירועי אבטחת מידע שאירעו.
מנהלי רשת רבים ומנהלי אבטחת מידע רבים משוכנעים לחלוטין שבכך שהם מחזיקים ציודי שליטה ובקרה שונים המונעים ממשתמשים לבצע פעולות הנחשבות מסוכנות מבחינת אבטחת מידע הם מגינים באופן מספק על הרשת של ארגונם. למעשה, הציודים האלו הם אכן רכיב חשוב מאד אך בשום אופן לא מספק, גם אם נניח שכוח האדם הדרוש באמת על מנת לנהל באופן יעיל את הציודים הללו זמין עבור אותו מנהל רשת/אחראי אבטחת מידע, איזו תוכנית יש לו ליום שאחרי האסון? לזחול לאיזו פינה חשוכה ולעצום את עיניו בתקווה שאף אחד לא ימצא אותו? הבעיה במצב הזה נחלקת לשתיים: האחת היא שאותם מנהלי רשת ואחראי אבטחת מידע למעשה מחפשים את הפתרון תחת הפנס, לא כי שם הוא נמצא אלא כי שם יש אור… כמה מאותם מנהלי רשת באמת טורחים להתמודד עם שיטות Low-Tech לחדירה לארגונים כמו למשל הנדסה חברתית וסוגיה? כמה מנהלי רשת באמת מחזיקים טכנולוגיה המאפשרת להם לחקור באופן מעמיק אירוע אבטחת מידע לאחר שהתרחש או לבחון באופן יסודי התנהגות של אפליקציה חשודה או לזהות בזמן אמת אפליקציות שמתנהגות באופן חשוד גם אם הן פרי פיתוח עצמי של תוכניתנים בארגון?
העניין שפתחתי בו היה העובדה שהצפנה עשויה להיות עניין בעייתי דווקא מטעמים של אבטחת מידע, עכשיו אני חושב שכבר אפשר להסביר למה, ובכן, ציודי השליטה ובקרה (כמו פיירוולים למיניהם) כמו גם ציודי לכידה למיניהם נעשים קצת לא יעילים (ציודי בקרה נעשים לא יעילים כמעט בכלל שכן הם יוכלו במצב כזה לסנן את התעבורה לפי כתובות יעד ומקור ומספרי פורטים בלבד,ציודי הלכידה יוכלו לזהות מגמות בלבד ובמקרים של הצפנת SSL ניתן בהנחה שיש בידך את התעודה הדיגיטלית, לפענח את החומר שנאגר לאחר שנאסף)
אני לא אומר שהייתי ממליץ לבטל את הצפנת התווך בכל הרשת שלך אבל בהחלט כן לשקול את כדאיותה ואת האפשרות להציב ברשת ציוד אשר מבצע SSL Proxy לכל התעבורה המוצפנת ומאפשר לציודי הניטור, לכידה, סינון ובקרה לצפות במידע מול התועלת העצומה שטמונה ביכולת לצפות ולנתח את נתוני הרשת באופן יעיל. לעיתים, בחלק מן המקרים אפשר להשיג תוצאות מספקות בהחלט בעזרת שימוש ב-Auditing במערכת המתאימה אם כי רכיבים אלו בשום אופן לא מספקים את כל המידע שניתן לקבל מציוד המבצע Packet capture איכותי אבל בהחלט מסוגלים להוות אלטרנטיבה מתקבלת על הדעת כאשר הנתונים המדוברים הנם רגישים במיוחד.